IT-Total | Blogg | Säker IT

Mötesalternativ i Microsoft Teams. Vad har det med säkerhet att göra?

Skriven av IT-Total | 2022-aug-18 07:15:39

Mötesalternativ har funnits lika länge som Teams-möten existerat. Många tänker inte ens på de inställningarna utan ansluter till eller skapar ett möte endast med agendan i åtanke. Kanske uppmärksammas dialogrutor att det väntar personer i lobbyn, att man plötsligt är på ljudlöst eller att det bara går att räcka upp handen som en reaktion i mötet. 

Det är ofta en kombination av mötesinställningar och mötesalternativ. Det lönar sig att reflektera över de inställningarna ibland, både som administratör och användare. Vem som förväntas att ansluta, vilka som ska tillåtas att ansluta och på vilket sätt. Inte minst vilken typ av roll den personen ska ha i mötet. Vad gäller det förstnämnda så sker det antingen automatiskt eller först efter godkännande i möteslobbyn och för det senare vem som ska ha mötesrollen Attendee eller Presenter i mötet, på svenska deltagare eller presentatör. 

En Attendee har begränsade mötesbehörigheter medan en Presenter har liknande behörighet som organisatören av mötet. En Presenter kan alltså släppa in folk från lobbyn, ta bort andra från mötet, sätta andra på ljudlöst, starta och stoppa en inspelning och så vidare. Inte helt optimalt att alla i ett möte är Presenters med andra ord, men det brukar snarare vara regel än undantag. Det finns inte någon logg som visar vem som exempelvis har tagit bort personer från mötet eller satt andra på mute. 

Mötesalternativen i Teams är dels kontrollerat från ett administrativt perspektiv, men organisatören har möjlighet att konfigurera inställningar per möte. Det sker genom att ändra mötesalternativen för mötet och då bör man alltså fundera lite över vem som ska kunna göra vad. Det kan tilläggas att organisatören har möjlighet tilldela andra deltagare en ny roll som kallas co-organizer eller medorganisatör för att assistera mötesorganisatören, med bland annat just mötesalternativen, att låsa mötet så inga längre kan ansluta till det eller avsluta mötet för alla deltagare. De kan dessvärre inte ändra själva bokningen som organisatören äger. 

Standardinställningarna hanteras av en administratör i Teams Admin Center (TAC) med hjälp av det som kallas Teams mötespolicy. Man kan skapa flera sådana om man inte vill använda sig av den globala som alla användare får automatiskt. Vill man använda PowerShell så är det modulen Set-CsTeamsMeetingPolicy som används och för nämnda alternativ, lobby och roll, skulle det innebära konfiguration av parametern AutoAdmittedUsers och DesignatedPresenterRoleMode. Man kan konfigurera vad gäster har för funktionalitet i möten, chattar och kanaler, men inte tilldela dem en Teams-policy som man kan med användare som tillhör organisationen. 

I Teams finns det olika användartyper eller identiteter som avgör vilken upplevelse de får. Dessa påverkas också olika beroende på mötesalternativen i kombination med organisationens inställningar. Det finns gäster, federerade, anonyma och de interna användarna.  

Gäster är personer som har blivit inbjudna till den egna organisationen, de har ett gästkonto och åtkomst till ett eller flera team och kan byta till berörd organisation från det övre högra hörnet i Teams.  

Federerade är organisationer som är betrodda och federering är öppen som standard så att det ska gå att kommunicera med andra organisationer. Det innebär att man kan söka efter dessa personer i Teams och starta ett videosamtal eller en chatt. Federerade har ingen åtkomst till resurser i Teams och det går inte att dela filer i en chatt mellan två organisationer som är federerade. 

Anonyma användare är Teams sätt att identifiera konton som inte är autentiserade i Teams-möten. De är inte inloggade och har anslutit via en möteslänk där de skrivit in ett namn i en mötesprompt innan de ansluter. Anonyma har inte åtkomst till några resurser i Teams utan deltar i mötet och kan skriva i chatten, om det tillåts, eftersom man kan begränsa anonyma användare med läsbehörighet till möteschatten. Deras e-postadress registreras inte heller i deltagarlistan som genereras efter mötet. Det går att konfigurera övergripande inställningar för anonyma användare, ifall de ska få ansluta till möten i en organisation överhuvudtaget eller om man önskar att även en sådan användartyp ska kunna starta ett möte som första person som ansluter. Det vill säga, utan att någon från organisationen är närvarande i mötet.

Slutligen har vi konsumentkonton, men när det kommer till Teams-möten så tillhör de inte något av mötesalternativen. De kan vara en gäst eller en anonym användare, men inte från en betrodd organisation (federerad). Tittar man i de underliggande inställningarna ser man att de har olika benämningar.  

  • AllowFederatedUsers – Federering (betrodd) 
  • AllowPublicUsers - Skype konsument 
  • AllowTeamsConsumer - Teams konsument (utgående) 
  • AllowTeamsConsumerInbound - Teams konsument (inkommande). 
     


 

Konsumentkonton är Microsoftkonton med Teams for personal use eller Teams for Life som det också kallas (samt konsument-Skype). De använder en nedbantad version av Teams och saknar funktionalitet som ingår i Microsoft 365 olika abonnemang. De här användarna kan kontakta alla organisationsanvändare i en chatt som standardinställning och det är enkelt att utge sig för att vara någon annan genom att ändra visningsnamn på Microsoftkontot. Eftersom data loss prevention inte är utvecklat för konsumentchattar (inte än i alla fall) så finns det viss risk för informationsläckage den vägen. 
 


 

Man får en notis att vara försiktig, men det är ju Therese som jag känner och vi sågs ju idag! 
 


 

Men nu pratade vi ju om mötesalternativ i Teams-möten så låt oss fortsätta där... 

En del organisationer har öppna spjäll och har ändrat sina mötesalternativ till det mest tillåtande som standardinställning, kanske för att de inte förstår, inte ser värdet eller tycker att det är krångligt. Det betyder att man i mötesalternativens rullgardiner ser Alla på lobby och presentatör. Resultatet av det är att alla med tillgång till möteslänken kan ansluta utan godkännande och ta del av innehållet. Anonyma användare kan skriva in vilket namn som helst i mötesprompten innan de ansluter och utöva social engineering till exempel. 

Här ser vi att vår CEO har lite datorproblem och ansluter som gäst i ett möte även fast han är på tjänsteresa. Kanon att han kan medlyssna trots allt! 
 


 

Nedan ett skärmklipp från lobbyinställningen samt alla mötesalternativ där man själv ändrar inställningar. För vissa möten kanske det fungerar utmärkt med Alla, men det finns tillfällen då det i stället endast bör vara organisatörerna som kan gå igenom lobbyn utan godkännande. Och vill man verkligen att alla ska vara Presenters? Det brukar bli stökigt. 

 

 

Det är mycket att ta in och ha i åtanke när det kommer till upplevelsen för interna och externa användare generellt. Det beror på hur administratören konfigurerar sin organisation och inte enbart Microsoft Teams, och hur det i sin tur påverkar användartyperna/identiteterna. På det tillkommer inställningar för externt samarbete och extern delning i Microsoft 365, vilket bör ske på ett säkert och kontrollerat sätt, samt väga in när det passar bäst med gästkonton (B2B) eller delade kanaler (Direct connect) som sätts upp via Cross-tenant access settings i Azure AD. 

Som det framgår av texten handlar inte allt om teknik utan vi har förstås mjuka sidor involverat, följaktligen är adoption av Teams och Microsoft 365 en viktig pusselbit i alla organisationers strategi. 

 

Mer läsning:

 

Behöver du hjälp med något kring Teams och Microsoft 365 så är du välkommen att kontakta mig och mina kollegor på IT-Total. 



Läs mer om allt vi bryr oss om på:
https://www.it-total.se/